HiJackThis+ (Plus) 3.4.0.8

[Dragokas]

Возможность добавить такое уже есть, а смысла в этом пока не видим.
Для чего именно?

Если интересует расположение в системе найденных пунктов, то есть RegJump по правому клику мыши.

 

[mike 1]

O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TEMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)

Эти записи просто для информации служат? Что будет если их попытаться пофиксить в HJT? Еще немного настораживает информация о проблеме с переменными средами, т.к. в другом логе они выглядят стандартными:

======Переменные среды======

"DEVMGR_SHOW_DETAILS"=1
"ComSpec"=%SystemRoot%\system32\cmd.exe
"devmgr_show_nonpresent_devices"=1
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\OrlSoft Music Manager;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\;C:\WINDOWS\system32\WindowsPowerShell\v1.0;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE\;C:\Program Files\Skype\Phone\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.PSC1
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0204
"see_mask_nozonechecks"=1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"PSModulePath"=C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\

-----------------EOF-----------------

 

[regist]

Что будет если их попытаться пофиксить в HJT?

Вернёт значение по умолчанию. Про размер конечно просто для информации.

т.к. в другом логе они выглядят стандартными:

Другой лог это что? Если это RSIT то там переменные среды выводятся для другого пользователя, так что это скорее бага РСИТ-а.

 

[Dragokas]

O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.

Эта запись означает, что при фиксе не будет создаваться полная копия реестра, пока на диске C не станет свободным хотя бы 1 ГБ. места.
Фиск записи приведёт к запуску служебной утилиты "Очистка диска" (cleanmgr) с автоматической очисткой:

cKeys.Add 2, "Active Setup Temp Folders"
cKeys.Add 2, "BranchCache" '8/10
cKeys.Add 2, "Compress old files" 'XP
cKeys.Add 0, "Content Indexer Cleaner"
cKeys.Add 2, "Downloaded Program Files"
cKeys.Add 2, "GameUpdateFiles"
cKeys.Add 2, "Internet Cache Files"
cKeys.Add 2, "Memory Dump Files"
cKeys.Add 2, "Offline Pages Files"
cKeys.Add 2, "Old ChkDsk Files"
cKeys.Add 2, "Previous Installations"
cKeys.Add 0, "Recycle Bin"
cKeys.Add 0, "Remote Desktop Cache Files" 'XP
cKeys.Add 2, "RetailDemo Offline Content" '8/10
cKeys.Add 2, "Service Pack Cleanup"
cKeys.Add 0, "Setup Log Files"
cKeys.Add 0, "System error memory dump files"
cKeys.Add 0, "System error minidump files"
cKeys.Add 2, "Temporary Files"
cKeys.Add 2, "Temporary Setup Files"
cKeys.Add 2, "Thumbnail Cache"
cKeys.Add 2, "Update Cleanup"
cKeys.Add 2, "Windows Defender" '8/10
cKeys.Add 2, "User file versions" '8/10
cKeys.Add 2, "Upgrade Discarded Files"
cKeys.Add 2, "WebClient and WebPublisher Cache" 'XP
cKeys.Add 2, "Windows Error Reporting Archive Files"
cKeys.Add 2, "Windows Error Reporting Queue Files"
cKeys.Add 2, "Windows Error Reporting System Archive Files"
cKeys.Add 2, "Windows Error Reporting System Queue Files"
cKeys.Add 2, "Windows Error Reporting Temp Files" '8/10
cKeys.Add 0, "Windows ESD installation files"
cKeys.Add 0, "Windows Upgrade Log Files"

2 - это разрешена очистка.
0 - запрещена очистка соответствующего пункта.

Для записей [EV] фикс приведёт к восстановлению значения по-умолчанию:
Для HKLM это %SystemRoot%\Temp
Для всех остальных это:
на XP/2003 - %UserProfile%\Local Settings\Temp
более новые ОС - %USERPROFILE%\AppData\Local\Temp

Еще немного настораживает информация о проблеме с переменными средами, т.к. в другом логе они выглядят стандартными:

В логе RSIT переменные окружения отображаются для контекста HKLM (Local System),
что для:

"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

является дефолтом, и соответственно в логе HJT не отображается.
Предложение по замене этого блока в RSIT на отображение переменных от имени текущего пользователя есть у random/random, но ответа по его реализации мы ещё пока не получали.

Неправильная установка переменных TEMP/TMP, в том числе указывающих на папку с более высоким уровнем доступа может приводить к различным проблемам, иногда выглядещим как вирусные или ошибки обновления, например, "Отказ в доступе" при попытке установить некоторые программы и пр.

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновления

[2.7.0.29] - 19.01.2018
Унифицированы все секции лога к единому шаблону "Префикс секции-разрядность" - "опционально, имя секции": "улей\..\ключ": "опционально, подраздел" [параметр] = значение
"Сжат" лог O7 - IPSec: если в системе несколько идентичных правил.
Удалён признак O7 - TroubleShoot: [EV] (environment value is altered)
Добавлен признак O7 - TroubleShoot: [EV] (folder is not exist)
Добавлен признак O1 - Hosts: is damaged (contains NUL characters only)
Попытка фикса строки с легитимным файлом теперь будет вызывать SFC для него.
Разбиты на несколько строк...

Узнать больше об этом обновлении...

 

[Dragokas]

Также:
- немного обновлено описание основных отличий форка и v2.0.5, вкладка "Обзор"
- дополнено FAQ
- добавлены описания новых и обновление старых секций в Дополнение к руководству.
- программа переведена в статус Beta.

 

[Dragokas]

Выкладываю версию для тестирования.

Спойлер: Список изменений

[2.8.0.2] - 02.02.2018
Логи:
Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса.
O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert."
Добавлена опция "Additional scan" (по умолчанию, отключена). Включается через настройки File -> Settings

Проверка:
O4 - PendingFileRenameOperations (перенесёно в "Additional scan")
O4 - Autorun.inf (добавлено в "Additional scan")
O4 - MountPoints2 (добавлено в "Additional scan")
O22 - Task: добавлен атрибут "(activation)" для заданий активации системы.
O22 - Task: добавлен атрибут "(update)" для заданий GWX ("Get Windows 10").
O23 - Service: добавлен вывод аргументов.

Ошибки:
Исправлена ошибка, приводящая к отсутствию списка процессов в XP.
Исправлена ошибка при работе с коллекциями, которая могла привести к краху программы.
Исправлено несколько ошибок, когда в O23 не попадали вредоносные записи.
Исправлено падение программы при попытке закрыть её раньше, чем закончит работу StartupList2.
Исправлена работа галочки "Сразу отмечать для исправления всё найденное в ходе проверки"
Исправлена ошибка при попытке добавить HJT в автозапуск, если он запущен через меню Пуск, а также на системах XP/2k.

Защита:
Улучшена защита от удаления системных файлов, если повреждён механизм проверки ЭЦП.
Добавлена защита от завершения критически важных системных процессов.

Фиксы:
O21: добавлен перезапуск Explorer.
O4: добавлена заморозка процессов.
O22: добавлено завершение задачи.

Интерфейс и прочее:
Добавлены иконки для инструментов и удалены лишние из ресурсов.
Добавлено многоязычное описание в свойства файла (DE/FR/EN/RU).
Реорганизовано меню "Misc Tools" (Дополнительные инструменты):
- дополнительные настройки перенесены в меню основных настроек;
- добавлена секция "Plugins";
- добавлены кнопки "Registry Keys Unlocker" и "Digital signature checker".
Основные настройки разделены на категории:
- Scan area
- Scan options
- Fix & Backup
- Interface
Настройка "Ignore Microsoft files" переименована в "Ignore Microsoft entries"
Настройка "Ignore non-standard but safe domains in IE (e.g. msn.com, microsoft.com)" поглощена настройкой "Ignore Microsoft entries".
Добавлены всплывающие подсказки к некоторым галочкам.
HiJackThis.exe при запуске из архива теперь запрашивает распаковку не в корень рабочего стола, а в его подкаталог "HiJackThis".
Ускорена работа программы на сильно загруженных системах в режиме /silentautolog.
Добавлены ключи командной строки:
/Area:process - включить в отчёт список процессов
/Area:Environment - включить в отчёт переменные окружения
/Area:Additional - выполнять "Дополнительное сканирование" (Additional scan)
Обновлены белые списки.

 

[akok]

@Dragokas, давно предлагал и предлагаю, создай отдельный ресурс для эксперементальных сборок. Удобнее собирать обратную связь.

 

[Dragokas]

А смысл? За день скачало 4 человека (и только потому что подписаны на тему), и из них никто не отписался.
А так вообще будет 1 или 0.
Да и кроме того я потом вложения все равно удаляю, а бекапы версий у меня все равно сохраняются локально, если что.
Ну а массово мы и так их тестим, поэтому я стараюсь не выкладывать сырые версии в качестве тестовых. Они здесь только, если вдруг чего нужно подкорректировать. А так по сути релизная.

 

[akok]

Хорошо, смотри сам как тебе удобнее. По тестовой версии. Сделал лог и все задания у меня по нему в статусе (disabled). Это нормально?

O22 - Task: (disabled) (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (Microsoft)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload (Microsoft)
O22 - Task: (disabled) klcp_update - C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe /verysilent /update /freq=30

Хотя в планировщике задания активны

 

[Dragokas]

Спасибо. Подтверждено.
В следующей версии уже будет исправленное.

 

[Hunter]

O23 - Service S2: Служба Google Update (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /svc
O23 - Service S3: Office 64 Source Engine - (ose64) - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc

(gupdatem) - (gupdatem)  -  2 скобки на сервисе,  оно не должен быть.  Должно быть одна...

Так по правильном O23 - Service S3: Служба Google Update - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc

--
End of file - Time spent: 5 sec. - 23034 bytes, CRC32: FFFFFFFF. Sign: 顠അ  -   Что  это значит?

 

[akok]

@wumbo12, на что обратить внимание?

 

[Hunter]

O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc - Почему две скобки? (gupdatem) - (gupdatem) - 2 скобки на сервисе, оно не должен быть. Должно быть одна...
Пример : Так по правильном O23 - Service S3: Служба Google Update - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc

End of file - Time spent: 5 sec. - 23034 bytes, CRC32: FFFFFFFF. Sign: 顠അ - Что это значит Sign: 顠അ -Зачем она вообще нужна в Логи?
Просто сделать проще : End of file - Time spent: 5 sec. - 23034 bytes.

А, то так странно когда в логи выдает в конце CRC32: FFFFFFFF. Sign: 顠അ - это ни к чему.

Специально красной нарисовал.


Это тестировалась на Beta 2.8 -https://safezone.cc/threads/hijackthis-fork-i-voprosy-k-razrabotchikam.28770/page-7#post-257060 здесь.

 

[Dragokas]

Контрольная сумма - для проверки лога на предмет умышленной модификации пользователем.
Sign - коррекция контрольной суммы. У всех логов одинаковая КС.

2 скобки на сервисе, оно не должен быть. Должно быть одна...

Это так в реестре прописано. Я ничего не правлю и не удаляю на лету. Да, по вашему предложению это будет сокращение, но это будет заранее недостоверная информация о названии службы.
Если вы читали справку, то там указано, что формат: O23 - название службы - название ключа - .... Если они совпадают, будет только одна надпись.
По вашему предложению, название службы будет "Служба Google Update", что не является правдой.

 

[shestale]

За день скачало 4 человека (и только потому что подписаны на тему), и из них никто не отписался.

Я не подписан, но тоже скачал Вчера запускал, проблем не обнаружил. Поэтому и писать не чего.

Сделал лог и все задания у меня по нему в статусе (disabled).

В моём логе присутствуют 3 статуса у заданий: activation, disabled, telemetry и вообще без статуса.
Вероятно это только с твоей "десяткой" связано.

 

[akok]

@shestale, очень даже может быть. @Dragokas разберется, а мы ему поможем.

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновления

[2.8.0.3] - 03.02.2018
Убран вывод отключённых элементов O7 - IPSEC.
Улучшена работа опций "Ignore Microsoft entries" и "Ignore All whitelists".
O22 - Task: исправлена ошибка в выводе статута "(disabled)".

[2.8.0.2] - 02.02.2018
Логи:
Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса.
O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert."
Добавлена опция "Additional scan" (по...

Узнать больше об этом обновлении...

 

[Hunter]

Контрольная сумма - для проверки лога на предмет умышленной модификации пользователем.
Sign - коррекция контрольной суммы. У всех логов одинаковая КС.

Это так в реестре прописано. Я ничего не правлю и не удаляю на лету. Да, по вашему предложению это будет сокращение, но это будет заранее недостоверная информация о названии службы.
Если вы читали справку, то там указано, что формат: O23 - название службы - название ключа - .... Если они совпадают, будет только одна надпись.
По вашему предложению, название службы будет "Служба Google Update", что не является правдой.

По вашему предложению, название службы будет "Служба Google Update", что не является правдой. - Лучше бы добавить контрольную сумму md5 Hash , чтобы проверить подписан при проверке VT через Aitotal отправки, чтобы доказать правду.
А, еще одна вещь. Лучше бы добавить HiJakThis Fork -добавить специальную анализ Aitotal по отдельной проверки по результату , нужно бы Dr.Web , Symantec, Kaspersky, Eset и Сomodo например md5 не совпадает , то реагирует и антивирусы считают подозрительные , то получается движок 3/5 найденных на VT. Это будет гораздо проверка по сигнатурному , при запуск и анализ системы и они сообщат ли вредоносный или не вредоносный.
Могу приложить фото.

 

[Dragokas]

Лучше бы добавить контрольную сумму md5 Hash , чтобы проверить подписан при проверке VT через Aitotal отправки, чтобы доказать правду.

Такое уже есть. Нужно поставить в настройках галочку на MD5.

Лучше бы добавить HiJakThis Fork -добавить специальную анализ Aitotal по отдельной проверки по результату , нужно бы Dr.Web , Symantec, Kaspersky, Eset и Сomodo например md5 не совпадает , то реагирует и антивирусы считают подозрительные , то получается движок 3/5 найденных на VT. Это будет гораздо проверка по сигнатурному .

Это нарушает принцип, заложенный в описание работы программы, - проверка без использования сети Интернет.
Кроме того, это занизит скорость работы программы в несколько раз. Что нарушает ещё один принцип.